De organisatie van webwinkels, die meer dan 1400 leden telt, vindt dat er te snel naar het middel van een meldingsplicht wordt gegrepen, “terwijl er nog tal van vragen zijn", zo schrijft de organisatie op de eigen website. “wat moet er bijvoorbeeld allemaal worden gemeld? Bij wie? En wat nu als een organisatie zich niet aan de meldplicht houdt?"

De discussie over een meldplicht voor bedrijven die te maken krijgen met een it-beveiligingsincident is opgelaaid na het drama met DigiNotar. Dat bedrijf werd gehackt maar hield dat incident geheim. Later bleek dat daardoor vele levens in Iran in gevaar waren gebracht. Doordat de beveiligingscertificaten van DigiNotar niet meer te vertrouwen waren, bleken vele websites, waaronder die van overheidsinstellingen, eveneens niet meer te vertrouwen.

Vertrouwen van de consument

“Webwinkels werken veel met certificaten, waardoor het vertrouwen van consumenten in online winkelen kan worden geschaad. Dat moet waar mogelijk voorkomen worden", zegt Thuiswinkel.org in het bericht op de eigen site.

Niettemin ondersteunt de organisatie de mening van VNO-NCW en MKB Nederland dat het invoeren van een meldplicht voor ict-incidenten “ondoordacht" is. Volgens de organisaties moet eerst worden onderzocht of zo'n meldplicht “wel leidt tot het verkleinen van de mogelijke gevolgen van incidenten".

Webwinkels beveiligen datagegevens niet

Voordat het debacle bij DigiNotar zich voordeed, werd er in Nederland alleen nog maar gesproken over de invoering van een meldplicht voor telefoon- en internetaanbieders. Vorig jaar al bepleitte het College bescherming persoonsgegevens (CBP) voor een meldplicht voor het gehele bedrijfsleven en de overheid.

Het CBP heeft een jaar geleden nog teleurgesteld gereageerd naar aanleiding van een onderzoek naar de manier waarop webwinkels in Nederland hun klantgegevens beveiligen. Dat was zwaar onder de maat. Liefst 86 procent bleek niet eens de moeite te hebben genomen om de verbinding tussen webwinkel en klant te versleutelen, waardoor klantgegevens relatief makkelijk zijn te onderscheppen. Get CBP noemde de uitkomsten van dat onderzoek van Networking4All "zorgwekkend".

Thuiswinkel.org heeft nog niet gereageerd op vragen van Webwereld.